Недавно обнаруженное вредоносное ПО для уничтожения данных, которое очищает файловую систему маршрутизаторов и модемов, было применено в кибератаке, нацеленной на спутниковую широкополосную службу KA-SAT, чтобы стереть модемы SATCOM. Атака была проведена 24 февраля. В результате кибер-нападения злоумышленникам удалось вывести из строя кучу оборудования и оставить без спутниковой связи десятки тысяч абонентов по всей Западной Европе..
Снова "школьники"?
Вредоносное ПО, которое исследователи из SentinelOne нарекли AcidRain, предназначено для перебора имен файлов устройств и очистки каждого файла, который оно сможет найти, что упрощает повторный взлом устройств в будущих атаках.
То что зловред занимается перебором имен файлов может намекать на отсутствие у злоумышленников знакомства с файловой системой и прошивкой целевых устройств или же их намерение разработать многоразовый инструмент, считают в Sentinel One
AcidRain был впервые замечен 15 марта после его загрузки на платформу анализа вредоносных программ VirusTotal с IP-адреса в Италии в виде 32-битного двоичного файла MIPS ELF с использованием имени файла «ukrop».
После загрузки в устройство, троян проходит через скомпрометированный маршрутизатор или всю файловую систему модема. Он также стирает флэш-память, карты SD / MMC и любые виртуальные блочные устройства, которые он может найти, используя все возможные идентификаторы устройств.
«Двоичный файл выполняет глубокую очистку файловой системы и различных известных файлов запоминающих устройств. Если код работает от имени root, AcidRain выполняет начальную рекурсивную перезапись и удаление нестандартных файлов в файловой системе», — объяснили исследователи угроз SentinelOne Хуан Андрес Герреро-Сааде и Макс ван Амеронген.
Чтобы уничтожить данные на скомпрометированных устройствах, вредоносная программа перезаписывает содержимое файлов до 0x40000 байтами данных или использует системные вызовы MEMGETINFO, MEMUNLOCK, MEMERASE и MEMWRITEOOB ввода-вывода (IOCTL).
После завершения процессов очистки данных зловред AcidRain перезагружает устройство, делая его непригодным для использования.
"Укроп" для Украины?
Основываясь на названии двоичного файла AcidRain, загруженного в VirusTotal - "ukrop", который может быть аббревиатурой от «Ukraine Operation», SentinelOne предполагают, что вредоносное ПО могло быть разработано специально и целенаправленно использовалось для уничтожения модемов в кибератаке на KA-SAT.
«Злоумышленник использовал механизм управления KA-SAT в атаке на целевые объекты кибер-нападения, чтобы внедрить вредоносную программу AcidRain, предназначенную для модемов и маршрутизаторов», — предположил SentinelOne.
Acid Rain перезаписывает ключевые данные во флэш-памяти модема, делая его неработоспособным. После такой атаки устройства, вероятно, можно перепрошить, но скорее всего модемы роутеры после вредоносной "инъекции" нуждаются в замене, говорят в SentinelOne.
Это заявление службы безопасности SentenelOne прямо противоречит отчету об инциденте Viasat об атаке на KA-SAT, в котором говорится, что Viasat не нашел «никаких доказательств какой-либо компрометации или подделки программного обеспечения модема Viasat или образов прошивки и никаких доказательств какого-либо вмешательства в цепочку поставок».
Тем не менее, Viasat подтвердил гипотезу SentinelOne, заявив, что вредоносное ПО, уничтожающее данные, было развернуто на модемах с использованием команд «легального управления».
«Анализ в отчете SentinelLabs относительно двоичного файла 'ukrop' согласуется с фактами в нашем отчете - в частности, SentinelLabs идентифицирует разрушительный исполняемый файл, который был запущен на модемах с использованием легальной команды управления», - сказал представитель Viasat.
Использование AcidRain для очистки файловой системы модемов было также подтверждено исследователем безопасности Рубеном Сантамартой, который сбросил флэш-память модема SATCOM, поврежденного в результате атаки на KA-SAT.
Как говорит SentinelOne, разрушительная картина, наблюдаемая Сантамартой, соответствует выходу метода перезаписи вредоносной программой AcidRain.
Атаку на спутниковую связь в Западной Европе, скорее всего, провели профессиональные хакеры, а не школьный кружок по рукоделию. О масштабности вирусной атаки можно судить по тому, что на данный момент Viasat отгрузил почти 30 000 модемов для возвращения своих клиентов в онлайн, и продолжает большими темпами восстановление оборудования.
